벌새::Analysis
2013. 9. 6. 14:28
국내 악성코드 : shcpop 1.0
국내 인터넷 사용자를 대상으로 다양한 유포 경로를 통해 제휴(스폰서) 프로그램을 설치한 후 사용자 몰래 온라인 게임 정보를 수집할 목적으로 추가적인 악성코드를 감염시키는 사례가 광범위하게 발생하고 있습니다. 이번 사례는 2013년 5월~7월경에 활발하게 유포한 것으로 추정되는 "shcpop 1.0" 프로그램을 통해 일련의 유포 과정과 관련 정보를 공개하도록 하겠습니다. 대표적인 유포 방식으로는 블로그를 통해 사용자들이 많이 검색하는 프로그램의 설치 파일을 링크 방식으로 다운로드하도록 구성되어 있으며, 이를 통해 광고 프로그램 배포 목적으로 국내에서 운영되는 자료실 서버에서 파일을 받아옵니다. 다운로드된 파일을 실행하면 마치 Internet Explorer 웹 브라우저에서 제공하는 것처럼 구성된 다운로더 ..